NSA: Russische geheime dienst maakt actief misbruik van Exim lek

Hackers verbonden aan de Russische geheime dienst GROe maken actief misbruik van een kwetsbaarheid in Exim. Een patch die het lek dicht is al enkele maanden beschikbaar. De NSA waarschuwt deze patch zo snel mogelijk te installeren indien dit nog niet is gedaan.

Het gaat om CVE-2019-10149, een beveiligingslek in de Exim mail transfer agent (MTA). Aanvallers verbonden aan de GROe zouden actief proberen servers die kwetsbaar voor dit lek aan te vallen en te kapen. Exim wordt grote schaal gebruikt door Linux en Unix servers voor e-mail; naar schatting is de MTA op miljoenen servers in gebruik.

Sandstorm

Wie precies doelwit is van de aanvallers maakt de NSA niet bekend. De aanvallen worden toegeschreven aan Sandstorm, een hackersgroep die eerder in verband is gebracht met het Russische geheime dienst GROe. Eerder is de Sandstorm groep gekoppeld aan aanvallen op onder meer een onderzoekslaboratorium en het Foreign and Commonwealth Office van Groot-Britannië.

CVE-2019-10149 is sinds Exim 4.87 aanwezig in de MTA. Het lek is in juni 2019 gedicht met behulp van een patch; het lek is niet meer aanwezig in versie 4.93 of later. De NSA adviseert beheerders dan ook Exim zo snel mogelijk te updaten. De waarschuwing van de NSA is hier te vinden.